NO
Teknologi

Manglende informasjon til aksjonærer var brudd på personvernsreglene

logo
Jusnytt
calendar 2 juni 2022
globus Norge, Danmark

I respons til et varsel fra banken hans, sendte den registrerte inn en innsynsforespørsel til en bedrift han eide aksjer i. Han ønsket å finne ut hvorfor bedriften ville ha personopplysningene hans. Etter fem måneder svarte bedriften at det denne aldri hadde vært forpliktet til å informere ham, men forklarte hvorfor de hadde bedt om personopplysningene. Det norske Datatilsynet var uenig i denne forståelsen.

Etter å ha kjøpt aksjer i en norsk sjømatsbedrift gjennom sin tyske bank, ble en tysk aksjonær varslet av banken om at bedriften hadde forespurt personopplysningene hans.

Ettersom bakgrunnen for denne forespørselen var uklar for aksjonæren skrev han en e-post til bedriften. En måned senere hadde han fremdeles ikke mottatt noe svar, og skrev igjen. Da han fremdeles ikke hadde mottatt et svar mer enn en måned senere klaget han til det norske Datatilsynet, som kontaktet bedriften. Bedriften erkjente at den aldri hadde sett aksjonærens forespørsel, da denne hadde havnet i søppelpost. Den bekreftet også at aksjonæren ville motta et svar, men at det ikke forelå noen plikt til å informere som følge av at unntakene under artikkel 14 i personvernsforordningen (GDPR) var gjeldende.

I sitt svar til aksjonæren, ga bedriften ham informasjonen om behandlingsaktiviteten og informerte ham om en rettighet under norsk lov til å motta personopplysninger om aksjonærer. Bedriften bemerket også at dens leverandør, Nasdaq, hadde istandgjort denne forespørselen.

Ingen unntak til informasjonsplikten var gjeldende

Ifølge Datatilsynet hadde bedriften vært bundet av en informasjonsplikt. Det var derfor feil å henvise til unntak for denne plikten.

Det første unntaket brukt av bedriften innebar at det ikke forelå noen informasjonsplikt dersom den registrerte allerede hadde informasjonen. Datatilsynet understrekte at denne unntakelsen forutsatte at bedriften kunne vise til og dokumentere at dette var tilfellet. Det var ikke tilstrekkelig å bare anta at aksjonæren hadde den nødvendige informasjonen. Bedriften hadde ingen beviser til å løfte denne bevisbyrden.

Samtidig var det tydelig at selv om aksjonæren hadde mottatt noe informasjon om behandlingsaktivitetene, hadde han aldri mottatt fullstendig informasjon. Som konsekvens ville bedriften, uavhengig, vært forpliktet til å utfylle informasjonen han allerede hadde hatt, inkludert informasjon som manglet fra personvernserklæringen i forbindelse med informasjon om rettsgrunnlaget for behandlingen, mottakerne, lagringsperioden og sikkerhetsforanstaltninger for overføringen til Nasdaq i Storbritannia.

Det andre unntaket bedriften tok i bruk innebar at det ikke forelå noen informasjonsplikt hvis innhentingen og utleveringen av personopplysningene følger fra nasjonal lov. Datatilsynet uttalte at dette forutsetter et obligatorisk krav. Det var ikke tilfellet, ettersom bedriften utøvde en rettighet den hadde til å motta personopplysninger om deres aksjonærer – ikke et krav den var bundet av etter norsk lov.

IUNO mener

Unntak fra informasjonsplikten tolkes og anvendes snevert av de nasjonale datatilsynsmyndighetene. Det gjør det vanskelig for bedrifter å anvende dem med hell, og av samme grunn bør slike unntak brukes forsiktig. Brudd på en grunnleggende plikt etter personvernreglene, herunder informasjonsplikten, kan ellers føre til bot.

IUNO anbefaler at bedrifter løpende revurderer om de gjeldende personvernserklæringene og andre informasjonsprosedyrer er tilfredsstillende etter GDPR’s artikkel 13 og 14. I denne saken kom Datatilsynet også med en merknad om at bedriftens personvernserklæring ville ha fått alle som ikke var ansatt i bedriften til å tro at det eneste rettmessige behandlingsgrunnlaget var samtykke – det var ikke oppført noe annet rettsgrunnlag i dokumentet for denne gruppen. Dette viser hvor viktig det er å sikre at kravene til åpenhet er tilfredsstilt for hver gruppe av registrerte, inkludert aksjonærer.

[Det norske datatilsynets avgjørelse 21/03656 av 26 april 2022]

Etter å ha kjøpt aksjer i en norsk sjømatsbedrift gjennom sin tyske bank, ble en tysk aksjonær varslet av banken om at bedriften hadde forespurt personopplysningene hans.

Ettersom bakgrunnen for denne forespørselen var uklar for aksjonæren skrev han en e-post til bedriften. En måned senere hadde han fremdeles ikke mottatt noe svar, og skrev igjen. Da han fremdeles ikke hadde mottatt et svar mer enn en måned senere klaget han til det norske Datatilsynet, som kontaktet bedriften. Bedriften erkjente at den aldri hadde sett aksjonærens forespørsel, da denne hadde havnet i søppelpost. Den bekreftet også at aksjonæren ville motta et svar, men at det ikke forelå noen plikt til å informere som følge av at unntakene under artikkel 14 i personvernsforordningen (GDPR) var gjeldende.

I sitt svar til aksjonæren, ga bedriften ham informasjonen om behandlingsaktiviteten og informerte ham om en rettighet under norsk lov til å motta personopplysninger om aksjonærer. Bedriften bemerket også at dens leverandør, Nasdaq, hadde istandgjort denne forespørselen.

Ingen unntak til informasjonsplikten var gjeldende

Ifølge Datatilsynet hadde bedriften vært bundet av en informasjonsplikt. Det var derfor feil å henvise til unntak for denne plikten.

Det første unntaket brukt av bedriften innebar at det ikke forelå noen informasjonsplikt dersom den registrerte allerede hadde informasjonen. Datatilsynet understrekte at denne unntakelsen forutsatte at bedriften kunne vise til og dokumentere at dette var tilfellet. Det var ikke tilstrekkelig å bare anta at aksjonæren hadde den nødvendige informasjonen. Bedriften hadde ingen beviser til å løfte denne bevisbyrden.

Samtidig var det tydelig at selv om aksjonæren hadde mottatt noe informasjon om behandlingsaktivitetene, hadde han aldri mottatt fullstendig informasjon. Som konsekvens ville bedriften, uavhengig, vært forpliktet til å utfylle informasjonen han allerede hadde hatt, inkludert informasjon som manglet fra personvernserklæringen i forbindelse med informasjon om rettsgrunnlaget for behandlingen, mottakerne, lagringsperioden og sikkerhetsforanstaltninger for overføringen til Nasdaq i Storbritannia.

Det andre unntaket bedriften tok i bruk innebar at det ikke forelå noen informasjonsplikt hvis innhentingen og utleveringen av personopplysningene følger fra nasjonal lov. Datatilsynet uttalte at dette forutsetter et obligatorisk krav. Det var ikke tilfellet, ettersom bedriften utøvde en rettighet den hadde til å motta personopplysninger om deres aksjonærer – ikke et krav den var bundet av etter norsk lov.

IUNO mener

Unntak fra informasjonsplikten tolkes og anvendes snevert av de nasjonale datatilsynsmyndighetene. Det gjør det vanskelig for bedrifter å anvende dem med hell, og av samme grunn bør slike unntak brukes forsiktig. Brudd på en grunnleggende plikt etter personvernreglene, herunder informasjonsplikten, kan ellers føre til bot.

IUNO anbefaler at bedrifter løpende revurderer om de gjeldende personvernserklæringene og andre informasjonsprosedyrer er tilfredsstillende etter GDPR’s artikkel 13 og 14. I denne saken kom Datatilsynet også med en merknad om at bedriftens personvernserklæring ville ha fått alle som ikke var ansatt i bedriften til å tro at det eneste rettmessige behandlingsgrunnlaget var samtykke – det var ikke oppført noe annet rettsgrunnlag i dokumentet for denne gruppen. Dette viser hvor viktig det er å sikre at kravene til åpenhet er tilfredsstilt for hver gruppe av registrerte, inkludert aksjonærer.

[Det norske datatilsynets avgjørelse 21/03656 av 26 april 2022]

Motta nyhetsbrevet vårt

Anders

Etgen Reitz

Partner

Lignende

logo
Teknologi

14 september 2023

Fristen for etablering av varslingsordning for mellomstore virksomheter nærmer seg

logo
Teknologi

15 juni 2023

Løfter blir gitt for å bli holdt

logo
Teknologi

13 april 2023

En dyr forsinkelse

logo
Teknologi

26 januar 2023

Personvernombud på tvers av Norden

logo
Teknologi

31 mars 2022

24/7 kameraovervåkning på arbeidsplassen var et brudd på personvernreglene

logo
Teknologi

9 september 2021

Manglende overholdelse av lagringsperioder resulterte i gebyr på EUR 1.75 millioner

Laget

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (permisjon)